Phishing e ransomware: le minacce informatiche più diffuse in Italia e come difendersi passo per passo

Capire phishing ransomware come difendersi non è più un tema riservato agli specialisti informatici, perché oggi le truffe digitali e gli attacchi con blocco dei dati colpiscono famiglie, professionisti, scuole, imprese, pubbliche amministrazioni e semplici utenti che usano email, smartphone, home banking, SPID, PEC, social network e servizi cloud. La minaccia non arriva sempre con segnali evidenti: spesso prende la forma di un messaggio urgente, una fattura apparentemente normale, una comunicazione bancaria, un avviso di consegna, una richiesta di pagamento PagoPA o una falsa notifica di sicurezza.

In Italia, le autorità competenti segnalano da tempo un contesto cyber sempre più complesso, con attacchi sofisticati, ransomware, frodi online e reati informatici capaci di incidere sulla vita quotidiana dei cittadini e sul funzionamento dei servizi essenziali. La Polizia Postale, nel bilancio sulla sicurezza cibernetica 2025, ha descritto uno scenario caratterizzato da crescente complessità e da un impatto concreto su persone, aziende e infrastrutture digitali.

Il phishing è spesso la porta d’ingresso: convince l’utente a cliccare, inserire credenziali, scaricare allegati o autorizzare operazioni. Il ransomware, invece, è una delle conseguenze più gravi, perché cifra file, blocca sistemi, interrompe attività e talvolta minaccia la pubblicazione dei dati rubati. L’Agenzia per la Cybersicurezza Nazionale, nei report CSIRT Italia, ha registrato nel 2025 eventi e incidenti ransomware rilevanti, con vittime in settori come servizi finanziari, telecomunicazioni, vendita al dettaglio e università.

Questa guida pillar spiega in modo pratico phishing ransomware come difendersi, partendo dai segnali d’allarme più comuni e arrivando alle azioni immediate dopo un attacco. L’obiettivo è costruire una procedura utilizzabile, adatta a cittadini e piccole organizzazioni, che permetta di ridurre il rischio prima del clic sbagliato, proteggere account e dispositivi, creare backup realmente utili e sapere cosa fare quando una truffa o un malware è già entrato.

Phishing e ransomware in Italia: cosa sono e perché colpiscono così spesso

Il phishing è una tecnica di inganno che usa email, SMS, messaggi WhatsApp, telefonate, PEC compromesse, notifiche social o siti falsi per spingere la vittima a compiere un’azione rischiosa. L’obiettivo può essere rubare credenziali, ottenere codici OTP, installare malware, intercettare pagamenti o convincere una persona a comunicare informazioni riservate, sfruttando urgenza, paura, curiosità o fiducia verso un marchio noto.

Il ransomware è un malware progettato per bloccare dispositivi o cifrare file, chiedendo poi un riscatto per ripristinare l’accesso. Negli attacchi più evoluti, i criminali non si limitano a rendere illeggibili i dati, ma li copiano prima della cifratura e minacciano di pubblicarli, creando un doppio ricatto che può danneggiare reputazione, continuità operativa, rapporti con clienti e conformità normativa.

La relazione tra phishing e ransomware è stretta, perché molte infezioni iniziano da un messaggio apparentemente credibile. Un dipendente apre un allegato chiamato “fattura scaduta”, un professionista scarica un file da una falsa PEC, un cittadino inserisce password su una pagina che imita la banca, oppure un amministratore usa la stessa credenziale compromessa su più servizi. Da quel momento, l’attaccante può muoversi nei sistemi, rubare dati e preparare il blocco.

Il CERT-AgID monitora campagne italiane di malware e phishing e pubblica statistiche con indicatori di compromissione, campagne rilevate e temi sfruttati dagli attori malevoli. Le sue pagine mostrano quanto la minaccia sia ricorrente e quanto spesso vengano usati riferimenti a enti, servizi digitali, pagamenti, comunicazioni fiscali o strumenti familiari agli utenti italiani.

• Esempio di phishing bancario: email con logo dell’istituto, oggetto “accesso sospeso”, link a pagina falsa e richiesta di inserire credenziali, codice SMS o dati della carta.
• Esempio di phishing istituzionale: messaggio che cita Agenzia delle Entrate, INPS, Polizia, PagoPA o SPID, con allegato o link per presunti rimborsi, multe o verifiche urgenti.
• Esempio di ransomware aziendale: allegato malevolo aperto da un computer interno, propagazione nella rete, cifratura dei file condivisi e richiesta di riscatto in criptovaluta.

Il motivo per cui queste minacce funzionano è semplice: non attaccano solo la tecnologia, ma anche i comportamenti. Una password debole, un backup collegato sempre alla rete, un software non aggiornato o un clic sotto pressione possono trasformare una truffa ordinaria in un incidente serio.

Come riconoscere email, SMS e messaggi fraudolenti prima di cliccare

Riconoscere un messaggio fraudolento richiede metodo, perché i tentativi moderni sono spesso scritti in italiano corretto, usano loghi realistici e imitano notifiche quotidiane. Il primo controllo riguarda il mittente, che non va giudicato dal nome visualizzato, ma dall’indirizzo completo: una comunicazione che sembra provenire dalla banca può usare domini alterati, caratteri simili, sottodomini ingannevoli o caselle compromesse.

Il secondo controllo riguarda il tono del messaggio. Il phishing usa spesso urgenza e minaccia: “conto bloccato entro 24 ore”, “pagamento non riuscito”, “accesso non autorizzato”, “spedizione sospesa”, “sanzione da pagare subito”, “documento disponibile nella tua area riservata”. La Polizia Postale ricorda che banche e società che emettono carte di credito non chiedono mai conferma di dati personali tramite email con link verso pagine dove inserire credenziali riservate.

Il terzo controllo riguarda link e allegati. Prima di aprire, bisogna passare il mouse sul link da computer, oppure tenere premuto con cautela da smartphone per visualizzare l’indirizzo, senza accedere. Un link accorciato, un dominio non coerente, un file compresso, un documento con macro, una presunta fattura in formato insolito o un allegato ricevuto senza contesto sono segnali da trattare come rischio elevato.

Un esempio concreto è l’email che dichiara: “Gentile cliente, il tuo account verrà sospeso per attività anomala. Verifica subito i tuoi dati cliccando qui”. Il messaggio sembra utile, ma contiene tre segnali d’allarme: pressione temporale, richiesta di azione immediata e link esterno. La procedura sicura è chiudere il messaggio, aprire manualmente il sito ufficiale digitando l’indirizzo nel browser, accedere dall’app ufficiale o chiamare il numero presente sul retro della carta, non quello indicato nell’email.

• Controllare il mittente reale: aprire i dettagli dell’indirizzo, verificare dominio, errori, caratteri strani e differenze minime rispetto al sito ufficiale.
• Non usare link nel messaggio: per banche, SPID, INPS, Agenzia delle Entrate, PEC e cloud, accedere sempre digitando il sito o usando l’app ufficiale.
• Diffidare dagli allegati inattesi: fatture, solleciti, curriculum, preventivi, avvisi fiscali e file compressi vanno aperti solo se attesi e verificati con il mittente.
• Non comunicare OTP: codici via SMS, notifiche di conferma, PIN e password temporanee non devono essere condivisi al telefono o via messaggio.

Il phishing va valutato soprattutto quando il contenuto è plausibile. Se si aspetta davvero una consegna o una fattura, il rischio aumenta, perché l’utente abbassa la soglia di attenzione; proprio per questo, il controllo deve diventare una routine e non una reazione alla sensazione di sospetto.

Proteggere account e dispositivi: password, MFA, aggiornamenti e impostazioni essenziali

La difesa più efficace contro phishing e ransomware parte dagli account, perché credenziali rubate e accessi non protetti consentono agli aggressori di entrare senza dover forzare tecnicamente i sistemi. Ogni servizio importante, a partire da email, home banking, SPID, PEC, cloud, social, gestionale aziendale e area clienti telefonica, dovrebbe avere una password unica, lunga e non riutilizzata altrove.

Il modo più pratico per gestire questa complessità è usare un password manager affidabile, che consenta di creare password diverse per ogni servizio e riduca la tentazione di salvare credenziali in file, chat, note del telefono o fogli condivisi. Una password come “Nomeazienda2026!” sembra complessa, ma è prevedibile; una frase lunga e casuale, generata e custodita correttamente, resiste molto meglio agli attacchi automatizzati.

La seconda barriera è l’autenticazione multifattore, spesso indicata come MFA o 2FA. Quando possibile, è preferibile usare app di autenticazione, notifiche push sicure o chiavi fisiche rispetto ai soli SMS, perché il messaggio telefonico può essere intercettato o sfruttato in frodi di SIM swap. L’MFA non elimina il phishing, ma rende più difficile trasformare una password rubata in un accesso completo.

Il vademecum dell’Agenzia per la Cybersicurezza Nazionale sulle buone pratiche di cybersecurity richiama esplicitamente minacce come phishing, ransomware, furti di credenziali e intelligenze artificiali usate in modo malevolo, sottolineando che spesso non servono tecniche complesse, perché basta un clic sbagliato. Proprio per questo, la protezione deve combinare tecnologia, aggiornamenti e comportamenti quotidiani.

• Email principale: attivare MFA, controllare indirizzi di recupero, verificare dispositivi collegati e rimuovere app o accessi non riconosciuti.
• Smartphone: impostare blocco schermo robusto, aggiornamenti automatici, backup controllato e installazione di app solo dagli store ufficiali.
• Computer: mantenere sistema operativo, browser, antivirus, suite Office, PDF reader e software gestionali sempre aggiornati.
• Router domestico o aziendale: cambiare password predefinite, aggiornare firmware, usare Wi-Fi cifrato e separare eventuali dispositivi ospiti.

Per una piccola impresa, la procedura minima dovrebbe includere account individuali, niente password condivise, diritti amministrativi limitati, blocco automatico dello schermo, controllo degli accessi remoti e disattivazione degli account di ex dipendenti o collaboratori. Molti ransomware non sfruttano una singola falla spettacolare, ma una catena di abitudini deboli, credenziali vecchie e sistemi non presidiati.

Backup contro ransomware: la regola pratica per non perdere dati e continuità

Il backup è la misura che decide se un attacco ransomware diventa un disastro irreversibile o un incidente gestibile. Tuttavia, non basta copiare file su un disco esterno lasciato sempre collegato al computer, perché molti ransomware cifrano anche unità di rete, cartelle sincronizzate, dischi USB e spazi cloud montati come cartelle locali. Un backup utile deve essere separato, verificato e ripristinabile.

La regola più usata è il modello 3-2-1: almeno tre copie dei dati, su due supporti diversi, con una copia offline o comunque isolata. Per un cittadino può significare file sul computer, backup automatico su cloud con versioning e copia periodica su disco esterno scollegato. Per una piccola azienda può significare server o NAS, backup cloud protetto, snapshot immutabili e prova periodica di ripristino su un ambiente separato.

Il punto critico è il ripristino. Molte persone scoprono di avere backup incompleti solo dopo l’attacco, quando mancano database, foto, documenti contabili, configurazioni, email locali o archivi condivisi. Una volta al mese, o almeno ogni trimestre per le realtà più piccole, bisognerebbe recuperare alcuni file di prova e verificare che siano leggibili, aggiornati e non corrotti.

Per i professionisti, il backup deve coprire non solo documenti e fatture, ma anche software gestionali, chiavi di licenza, configurazioni di posta, rubriche, archivi PEC, database clienti, immagini di sistema e istruzioni di reinstallazione. Un ransomware che blocca il gestionale di studio, la cartella condivisa o il database ordini può fermare il lavoro anche quando i singoli documenti sembrano recuperabili.

• Backup locale offline: usare un disco esterno collegato solo durante la copia, poi scollegato fisicamente e conservato in luogo sicuro.
• Backup cloud con versioning: scegliere servizi che conservano versioni precedenti dei file, così da recuperare dati prima della cifratura.
• Backup aziendale protetto: limitare gli accessi, usare credenziali diverse, attivare MFA e impedire che ogni utente possa cancellare tutte le copie.
• Test di ripristino: recuperare periodicamente file, cartelle e database di prova, documentando tempi e passaggi necessari.

Il backup non deve essere considerato una misura tecnica marginale, ma una polizza operativa. Se i dati sono essenziali per lavorare, studiare, amministrare una famiglia o gestire un’attività, la domanda non è se fare il backup, ma quanto tempo si può restare fermi e quanti dati si può accettare di perdere.

Cosa fare subito se si è cliccato su un link, inserito credenziali o aperto un allegato

Il momento successivo all’errore è decisivo, perché molte conseguenze possono essere limitate se si agisce rapidamente e senza panico. Se si è cliccato su un link sospetto ma non si sono inseriti dati, bisogna chiudere la pagina, non scaricare nulla, svuotare eventuali download incompleti e controllare che il browser non abbia installato estensioni sconosciute. Se invece sono state inserite credenziali, la priorità cambia immediatamente.

La prima azione è cambiare la password del servizio coinvolto da un dispositivo sicuro, non dallo stesso computer se si sospetta un malware. Subito dopo bisogna attivare o rigenerare l’MFA, disconnettere tutte le sessioni attive, controllare dispositivi collegati, verificare regole di inoltro automatico della posta e controllare eventuali modifiche a indirizzi di recupero, numeri di telefono, metodi di pagamento o autorizzazioni di app esterne.

Se sono stati inseriti dati bancari, numeri di carta o codici OTP, bisogna contattare immediatamente la banca usando canali ufficiali, chiedere blocco o monitoraggio dello strumento di pagamento e contestare eventuali operazioni non autorizzate nei tempi previsti. Non bisogna richiamare numeri presenti nel messaggio sospetto, perché potrebbero appartenere alla stessa truffa e completare l’inganno con tecniche di social engineering telefonico.

Se è stato aperto un allegato e il computer mostra comportamenti anomali, come rallentamenti improvvisi, finestre insolite, estensioni dei file modificate, documenti non apribili o comparsa di richieste di riscatto, bisogna scollegare subito il dispositivo dalla rete, staccando Wi-Fi o cavo Ethernet. Non va spento impulsivamente se si tratta di un contesto aziendale, perché potrebbe servire a tecnici e investigatori preservare informazioni utili sull’incidente.

• Dopo credenziali inserite: cambiare password da dispositivo sicuro, attivare MFA, disconnettere sessioni, controllare regole email e avvisare contatti se l’account può inviare truffe.
• Dopo dati bancari comunicati: chiamare la banca da numero ufficiale, bloccare carta o operatività sospetta, salvare messaggi, screenshot e orari.
• Dopo allegato aperto: isolare il dispositivo dalla rete, non collegare dischi di backup, avvisare il referente informatico e non cancellare prove.
• Dopo infezione aziendale: attivare il piano di incidente, informare responsabili interni, consulente IT, legale o DPO se sono coinvolti dati personali.

La segnalazione è parte della difesa collettiva. Il CERT-AgID invita a segnalare campagne malware o phishing per contribuire alle statistiche e alla condivisione degli indicatori, mentre la Polizia Postale resta il riferimento per denunce e comunicazioni relative a reati informatici.

Dopo un attacco ransomware: isolamento, denuncia, ripristino e comunicazioni corrette

Quando appare una richiesta di riscatto o molti file risultano cifrati, la prima regola è non improvvisare. Pagare non garantisce il recupero dei dati, può finanziare ulteriori attività criminali e non elimina il rischio che le informazioni rubate vengano comunque diffuse. La priorità è mettere in sicurezza l’ambiente, capire l’estensione dell’attacco, preservare prove e avviare un ripristino controllato.

L’isolamento deve essere rapido: scollegare i dispositivi colpiti dalla rete, separare server, NAS e cartelle condivise, bloccare accessi remoti sospetti e sospendere account compromessi. In azienda, questa attività deve essere coordinata con tecnici qualificati, perché spegnere tutto senza criterio può cancellare elementi utili all’analisi, mentre lasciare sistemi connessi può consentire al malware di propagarsi o completare la cifratura.

La fase successiva è la valutazione. Bisogna identificare quali sistemi sono colpiti, quali dati sono stati cifrati o esfiltrati, quali credenziali possono essere state rubate, quali backup sono integri e quale sia il punto temporale sicuro da cui ripartire. Se sono coinvolti dati personali, un’organizzazione deve valutare gli obblighi di notifica previsti dalla normativa privacy, coinvolgendo DPO, consulente legale o responsabili competenti.

Il ripristino deve avvenire solo dopo aver chiuso la porta d’ingresso. Ripristinare un server senza cambiare credenziali, aggiornare sistemi vulnerabili o rimuovere persistenza dell’attaccante significa rischiare una seconda cifratura. Prima si analizza, poi si bonifica, poi si recuperano i dati da backup verificati, ricostruendo gradualmente servizi essenziali, accessi e priorità operative.

• Non pagare subito: non esiste garanzia di recupero, e la decisione richiede valutazioni tecniche, legali, assicurative e investigative.
• Isolare i sistemi: scollegare rete e dispositivi colpiti, proteggere backup, sospendere account compromessi e bloccare accessi remoti non essenziali.
• Conservare prove: mantenere note di riscatto, log, email, indirizzi wallet, screenshot, orari, nomi file e comunicazioni ricevute.
• Ripristinare con metodo: usare backup puliti, cambiare password, applicare patch, verificare MFA e monitorare attività sospette dopo il ritorno online.

Per una piccola impresa, la comunicazione è delicata quanto la tecnica. Clienti, fornitori e dipendenti devono ricevere informazioni verificate, non messaggi contraddittori; se account email sono stati compromessi, bisogna avvisare i contatti di ignorare richieste di pagamento, allegati o link inviati durante la finestra dell’attacco. La gestione trasparente riduce danni reputazionali e aiuta a impedire ulteriori frodi a catena.

La domanda phishing ransomware come difendersi non ha una risposta unica, perché la sicurezza nasce dall’insieme di controlli tecnici, attenzione quotidiana e procedure preparate prima dell’emergenza. Il phishing va contrastato imparando a riconoscere urgenze artificiali, mittenti falsi, link ingannevoli, allegati inattesi e richieste di codici; il ransomware va prevenuto con aggiornamenti, account protetti, MFA, backup separati e privilegi limitati.

La difesa più realistica non pretende di eliminare ogni rischio, ma riduce le probabilità di cadere nella trappola e limita i danni quando qualcosa va storto. Per cittadini, professionisti e piccole organizzazioni, la sequenza essenziale è chiara: usare password uniche, attivare l’autenticazione multifattore, aggiornare dispositivi e software, fare backup verificati, accedere ai servizi dai canali ufficiali, non condividere OTP e reagire rapidamente dopo un clic sospetto.

In un contesto in cui phishing e ransomware continuano a evolvere, la protezione non può essere delegata a un singolo antivirus o a una generica prudenza. Serve una routine concreta, ripetibile e documentata, capace di trasformare la sicurezza informatica in un’abitudine quotidiana: controllare prima di cliccare, verificare prima di pagare, isolare prima di ripristinare e chiedere supporto qualificato quando l’incidente supera le competenze personali.